[发明专利]对用户的安全设备进行解锁的方法和系统

说明书

技术领域

本发明涉及信息安全领域中，特别是涉及一种对用户的安全设备进行解锁的方法和系统。

背景技术

随着信息安全技术的飞速发展，以及PKI（Public Key Infrastructure，公钥基础设施）技术的日渐成熟，以数字证书作为用户网络身份标识的应用也越来越多。通常，用户的数字证书及其对应的私钥都保存在UKEY（Universal Serial Bus Key，U口密钥）或IC卡等类似的安全设备中。用户通过上述安全设备中的数字证书和私钥来实现网络上的用户身份安全认证和鉴别。

为了保证安全设备中用户私钥的安全性，用户在每次使用私钥进行用户身份认证和鉴别的时候都需要向安全设备提供用户口令，以实现安全设备对用户的认证。当用户提供的用户口令连续若干次（通常3次－5次）错误后，安全设备将自行锁定，形成死锁，用户将无法再继续使用该安全设备。这种方式有效抵制了用户在其安全设备丢失后，其身份被他人冒用的情况。但是这种方式也同样造成了正常用户在忘记口令后而导致安全设备死锁的情况。从实际应用情况看，这种正常安全设备死锁的情况还非常多。

现有技术中的一种对用户的安全设备进行解锁的方法为：在安全设备死锁后，用户持安全设备到安全设备发行点，由安全设备管理员输入管理员口令进行解锁。

上述现有技术中的对用户的安全设备进行解锁的方法的缺点为：安全设备要送到发行点进行解锁，对于用户群体较为分散的系统，会带来管理成本的增加和用户使用的不便。如果系统存在多个解锁管理员，会造成管理员口令的混乱，以及管理员集中监控上的不方便，从而形成整体系统上的不安全因素。

发明内容

本发明的实施例提供了一种对用户的安全设备进行解锁的方法和系统，以实现对用户的安全设备进行有效地解锁。

一种对用户的安全设备进行解锁的方法，包括：

在用户的安全设备锁定后，所述安全设备产生并存储请求随机数，用所述安全设备中存储的解锁私钥对所述请求随机数进行签名处理得到签名数据，所述安全设备向所述安全设备的管理服务器发送包含所述请求随机数、所述签名数据和所述安全设备的序列号的解锁请求数据；

所述管理服务器根据所述解锁请求数据中携带的所述安全设备的序列号获取预先存储的所述解锁私钥对应的解锁公钥，用所述解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行验证签名处理，在验证签名通过后，所述管理服务器用所述解锁公钥对所述请求随机数进行加密得到解锁回应数据，将所述解锁回应数据发送给所述安全设备；

所述安全设备用所述解锁私钥对所述解锁回应数据进行解密，将所述解锁回应数据中携带的请求随机数和所述预先存储的请求随机数进行比较，在比较结果为一致后，所述安全设备自行解锁。

一种对用户的安全设备进行解锁的系统，包括：安全设备和管理服务器，

所述的安全设备包括：

请求随机数处理单元，用于在所述安全设备锁定后，产生并存储请求随机数；

解锁请求发送单元，用于用所述安全设备中存储的解锁私钥对所述请求随机数进行签名处理得到签名数据，向所述安全设备的管理服务器发送包含所述请求随机数、所述签名数据和所述安全设备的序列号的解锁请求数据；

所述的管理服务器包括，

解锁请求数据验证单元，用于根据所述解锁请求数据中携带的所述安全设备的序列号获取预先存储的解锁公钥，用所述解锁公钥对所述解锁请求数据中的请求随机数和签名数据进行验证签名处理；

解锁回应数据处理单元，用于在所述解锁请求数据验证单元的验证签名通过后，用所述解锁公钥对所述请求随机数进行加密得到解锁回应数据，将所述解锁回应数据发送给所述安全设备；

所述的安全设备还包括：

验证解锁单元，用于用所述解锁私钥对所述解锁回应数据进行解密，将所述解锁回应数据中携带的请求随机数和所述预先存储的请求随机数进行比较，在比较结果为一致后，所述安全设备自行解锁。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例通过安全设备的管理服务器为用户的安全设备产生唯一的解锁密钥对，管理服务器和安全设备之间通过公钥算法实现相互认证，可以实现用户在安全设备锁定后进行自助解锁，并且保证了安全设备解锁的安全性与整体系统的安全性。

附图说明